MagicWeb-Malware

Die MagicWeb-Malware ist eine weitere starke Bedrohung, die als Teil des Bedrohungsarsenals der staatlich geförderten APT-Gruppe (Advanced Persistent Threat), bekannt als APT29 , NOBELLIUM und Cosy Bear, beobachtet wurde. Es wird angenommen, dass NOBELLIUM Verbindungen zu Russland hat und ihre typischen Ziele waren Regierungen und andere wichtige Organisationen aus Europa, Asien und den USA. Die MagecWeb-Malware ermöglicht es den Angreifern, ihre Präsenz im Netzwerk des Opfers zu verbergen. Details über die Malware und ihre Funktionsweise wurden in einem Bericht von Microsoft veröffentlicht.

Nach den Erkenntnissen der Microsoft-Forscher stellt MagicWeb eine Weiterentwicklung eines zuvor identifizierten Malware-Tools namens FoggyWeb dar . Die Hacker könnten die ältere Bedrohung verwenden, um die Konfigurationsdatenbanken von verletzten ADFS-Servern (Active Directory Federation Services) zu sammeln, ausgewählte Token-Signatur-/Token-Entschlüsselungszertifikate zu entschlüsseln oder zusätzliche Payloads aus dem Command-and-Control (C2, C&C )-Server und verteilen sie auf infizierten Systemen.

Wenn es speziell um MagicWeb geht, lokalisiert und ersetzt die Bedrohung eine legitime DLL („Microsoft.IdentityServer.Diagnostics.dll“), die von ADFS verwendet wird, und ersetzt sie durch eine neue beschädigte Version, die in der Lage ist, die Authentifizierungszertifikate der Benutzer zu manipulieren. Im Wesentlichen werden die NOBELLIUM-Hacker in der Lage sein, die Authentifizierung für jedes Benutzerkonto auf dem Server zu validieren, eine Persistenz innerhalb des verletzten Netzwerks herzustellen und viele Möglichkeiten zu haben, sich noch weiter zu verbreiten. Es sollte beachtet werden, dass MagicWeb für eine ordnungsgemäße Funktion voraussetzt, dass die Cyberkriminellen bereits über Administratorzugriff auf den Ziel-ADFS-Server verfügen. Microsoft warnt davor, dass ein solcher Fall bereits identifiziert wurde.